# Ruang Lingkup & Batasan Penetration Testing
Menentukan ruang lingkup (scope) merupakan tahap paling kritis sebelum melaksanakan pentest. Scope mendefinisikan apa yang boleh dan tidak boleh diuji.
## 1. Ruang Lingkup Teknis
Termasuk:
– aplikasi web,
– API,
– mobile app (Android/iOS),
– jaringan internal,
– jaringan eksternal,
– server & infrastruktur,
– cloud (AWS, Azure, GCP),
– IoT,
– wireless network.
## 2. Ruang Lingkup Organisasi
– departemen mana yang diberi akses,
– tim mana yang berkoordinasi,
– stakeholder yang harus diinformasikan.
## 3. Batasan (Rules of Engagement)
### Hal yang umumnya **dilarang**
– serangan DoS / DDoS,
– brute-force masif,
– memodifikasi data produksi,
– menghapus data,
– akses ke data sensitif secara utuh,
– mengganggu SLA layanan.
### Hal yang **diizinkan**
– eksploitasi terbatas,
– bukti akses (proof of concept),
– privilege escalation yang dikontrol.
## 4. Risiko Operasional
Pengendali harus memahami risiko seperti:
– potensi downtime,
– konsumsi CPU/memori tinggi akibat scanning,
– potensi aktivasi alert sistem keamanan.
Scope & batasan harus disepakati sebelum pentest dilakukan untuk menjamin legalitas, keamanan, dan kontrol penuh terhadap aktivitas.
